SKT 해킹 1년…CEO가 보안 챙기고 인증제 강화…피해 구제는 ‘제자리’ 작성일 04-21 51 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="YjUPzzrNOI"> <figure class="figure_frm origin_fig" contents-hash="4a3a9adce2e918abdddf0cbc4d7bb3726c4dfd622f1d4435333998d5b3a4ff32" dmcf-pid="Gg34UUEowO" dmcf-ptype="figure"> <p class="link_figure"><img alt="지난해 4월, 해킹으로 가입자 개인정보가 유출된 에스케이텔레콤(SKT)의 서울 지역 한 대리점 앞에 유심 교체를 하려는 이들이 줄을 서 있다. 김영원 기자 forever@hani.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/21/hani/20260421050716281qchc.jpg" data-org-width="800" dmcf-mid="yfDYmmV7Eh" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/21/hani/20260421050716281qchc.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 지난해 4월, 해킹으로 가입자 개인정보가 유출된 에스케이텔레콤(SKT)의 서울 지역 한 대리점 앞에 유심 교체를 하려는 이들이 줄을 서 있다. 김영원 기자 forever@hani.co.kr </figcaption> </figure> <p contents-hash="a7eb57541aaa8ae9d381bc5bc6b5ba43b118a19d8425d670e67a695beb889fc2" dmcf-pid="Ha08uuDgEs" dmcf-ptype="general"> 에스케이(SK)텔레콤의 대규모 개인정보 유출 사고가 발생한 지 1년이 지났다. 그간 케이티(KT)·엘지(LG)유플러스·롯데카드·쿠팡 등 국민 생활과 밀접한 분야에서 대규모 해킹 사건이 잇따르면서, 정보보안에 대한 국민적 요구와 민감도도 커진 상황이다. 이에 정부가 정보보호 종합 대책을 발표하고 기업들도 잇따라 자구책 마련에 나서면서 기업 보안은 일정 부분 강화됐다는 평가가 나온다. 다만 소비자 피해 구제 제도 등 관련 대응책은 여전히 진전이 더디다는 게 업계 전반의 평가다. 사고 대응 체계와 피해 보상 등 핵심 영역에서 여전히 한계가 또렷하다는 이유에서다.</p> <p contents-hash="4d13309a9eab4ab0e78cefa567943194e0185193162cb18312b34940f1e72534" dmcf-pid="XNp677waIm" dmcf-ptype="general">■ 대표가 직접 ‘점검 지시’…달라진 우선순위 지난해 이들 기업의 해킹 사태 이후 산업계 현장에서 가장 크게 달라진 점으로는 ‘경영진의 보안 인식’이 지목된다. 현장 설명을 들어보면, 그동안 주요 경영 과제에 밀려 ‘후순위’로 여겨졌던 정보보호 업무를 최고경영자(CEO)가 직접 챙기는 등 달라진 변화가 감지되고 있다. 한 게임회사 정보 보안 담당자는 “창업자가 ‘우리 회사 보안 상태는 괜찮은가’라며 직접 보안 점검을 지시하기도 하고, 보안 투자 필요성이 커지면서 예전보다 부서 예산을 따내기가 훨씬 쉬워졌다”고 말했다. 이커머스 기업 보안 실무자도 “임직원 대상으로 정보보호 인식 제고 교육을 여러 차례 진행하면서, 일부 리더들이 보안을 우선 고려해 일을 진행하려는 분위기가 생기고 있다”고 전했다. 지난해 해킹 사태로 곤혹스러운 상황에 처했던 주요 기업들은 최고정보보호책임자(CISO) 조직을 대표이사 직속으로 격상하는 등 조직 개편을 단행했다.</p> <p contents-hash="def9bf531b9812ffe95a1c0ebff7baf3f45e32b2ec75a7657702095fa839efbc" dmcf-pid="ZjUPzzrNmr" dmcf-ptype="general">■ 인증 심사 강화…심사원은 ‘부족’ 정부는 지난 10일 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제의 전면 개편안을 발표했다. 정부 인증을 받은 기업 다수가 지난해 해킹 사고에 휘말리면서 실효성 논란이 제기된 데 따른 조처다. 개편안은 그동안 기업 자율에 맡겼던 인증 심사를 의무화하고, 서류 중심의 평가 방식을 모의 해킹 테스트 등 현장 검증 중심으로 강화하는 내용을 담고 있다. 정부는 내년 7월 시행을 목표로 올해 상반기 안에 하위 법령 정비를 마무리한다는 방침이다.</p> <figure class="figure_frm origin_fig" contents-hash="47e2098220acbfaef8dfdf32ec4412dc037815ae9c9f81dcf1e1c26cc573acee" dmcf-pid="5AuQqqmjrw" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/21/hani/20260421050717565nmtv.jpg" data-org-width="800" dmcf-mid="WzmXII8BmC" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/21/hani/20260421050717565nmtv.jpg" width="658"></p> </figure> <p contents-hash="81d16c35107bbb82a4487c5c570046870c7b5710924f295567d7a48b452e7d41" dmcf-pid="1c7xBBsADD" dmcf-ptype="general"> 다만, 강화된 심사 기준 강화를 뒷받침할 심사 인력은 크게 부족하다는 지적이 나온다. 업계 한 관계자는 “올해 2월 기준 인증 의무 대상 기업이 약 600곳에 이르는 점을 고려할 때 기존 보안 인력만으로 이를 감당할 수 있을지 의문”이라고 말했다.</p> <p contents-hash="fd2d21bfa590eb7dff1a5959765447365a2a9f71c9541601a0550b37a9276944" dmcf-pid="tkzMbbOcmE" dmcf-ptype="general">전문가들도 인증 심사 범위와 기간을 확대하는 방향에 동의하면서도 내년 7월 시행까지 충분한 심사 인력을 확보하기에는 한계가 있을 것으로 보고 있다. 김승주 고려대 정보보호대학원 교수는 “현장에선 심사원 역량 편차가 크다는 목소리가 나오는 상황에서 정부는 심사 품질을 관리하면서 동시에 심사원 수를 늘려야 하는 과제를 안게 된 것”이라며 “관련 법 개정 이후 시행까지 주어진 기간 안에 준비를 마칠 수 있을지, 정부로서는 고민이 될 것”이라고 말했다.</p> <p contents-hash="d64ec871136b1e1abf183aef159eb05dbabaf8dfe51d3e54bd7ec8ad19ef4d09" dmcf-pid="FEqRKKIkmk" dmcf-ptype="general">■ 소송 참여 1%만 보상…“집단소송제 필요” 소비자 피해 구제 제도를 두고도 여전히 미흡하다는 평가가 나온다. 에스케이텔레콤은 지난 1월 유심(USIM) 정보 유출 사고 피해자에게 1인당 10만원 상당을 보상하라는 한국소비자원 소비자분쟁조정위원회의 조정안을 최종 거부했다. 이에 피해 신청자 50여명은 소비자원의 소송 지원 예산을 받아 회사를 상대로 1인당 위자료 10만원을 청구하는 손해배상 소송을 준비 중이다.</p> <p contents-hash="f7265af0730680dadf91bd4b8fa762eae9e446a7d4821a78f9e883e302137982" dmcf-pid="3DBe99CEwc" dmcf-ptype="general">앞서 에스케이텔레콤은 통신분쟁조정위원회와 개인정보분쟁조정위원회의 조정안도 모두 거부했다. 소비자원 분쟁 조정 신청자들의 소송을 대리하는 이철우 변호사는 “국내에는 집단소송 제도가 없어 개인정보 유출 피해자 가운데 실제 소송에 참여하는 1%만 배상을 받는 구조가 반복됐다”며 “에스케이텔레콤이 잇따라 조정안을 거부한 것도 ‘소송 참여자만 보상하면 된다’는 판단이 작용했을 것”이라고 말했다.</p> <p contents-hash="5614fae5549cb9cc07f2b3fb3ea336766b7770648be3e52ef26b76a72c93517e" dmcf-pid="0wbd22hDIA" dmcf-ptype="general">국내에는 집단소송제가 증권 분야에만 제한적으로 도입돼 해킹 등으로 개인정보가 침해된 피해자는 개별 소송을 제기하지 않는 한 배상을 받기 어려운 상황이다. 그러나 지난해 말 쿠팡 개인정보 유출 사태를 계기로 정부와 국회에서 집단소송제 확대 도입 논의가 다시 속도를 내고 있다. 정성호 법무부 장관은 지난달 31일 더불어민주당 지도부를 만나 4월 임시국회에서 개인정보 유출 피해자 등을 위한 집단소송제 확대 법안 등 ‘7대 민생·안전 법안'의 집중 심사를 요청했다.</p> <p contents-hash="a68f9ccaf04c50a51bb8089b48c4b5b3ef65ec0c83c9edfb631cfd74327b0fdf" dmcf-pid="pHJrLL3Gsj" dmcf-ptype="general">이은우 법무법인 지향 변호사는 “한국은 경제협력개발기구(OECD) 38개국 가운데 (증권 분야를 제외한) 집단소송제가 사실상 부재한 세 나라 중 하나”라며 “대규모 개인정보 유출 사고를 계기로 소비자 피해 구제의 기본이 되는 집단소송제 도입을 본격화할 필요가 있다”고 말했다.</p> <p contents-hash="b50235fede916a37fe2f4b4f8ed6107fde64b20183463be2247142badf5a476e" dmcf-pid="UXimoo0HEN" dmcf-ptype="general">선담은 기자 sun@hani.co.kr, 강재구 기자 j9@hani.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지</p> 관련자료 이전 SKT 사고 배후 ‘미궁’…통신 3사 해킹 수사 장기화 04-21 다음 15도 넘으면 기록보다 안전이 중요… 때로는 ‘포기’도 용기 [박성국의 러닝 보급소] 04-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
